资讯类
屏蔽式GKE节点通过安全启动程序、虚拟可信平台模块(vTPM)驱动测试启动程序以及完整性监控提供可核查完整性
原理性:
屏蔽GKE节点保护集群避免启动或内核级恶意或rootkits持续超出受感染OS
屏蔽式GKE节点运行固件使用Google证书局签名验证,确保节点固件不修改并建立安全启动信任根GKE节点身份通过虚拟可信平台模块强保,并先由主节点远程验证后加入集群最后,GKE节点完整性(即启动序列和内核)得到测量并可以远程监控验证
撞击 :
启动屏蔽GKE节点集后,节点池中创建的任何节点如果没有屏蔽GKE节点启动或节点池外创建,都无法加入集群
屏蔽式GKE节点只能用容器优化OS(COS)、容器化COS和Ubuntu节点图像
求解
Google云控制台使用
更新现有集群使用屏蔽GKE节点
导航库贝涅斯引擎访问 https://console.cloud.google.com/kubernetes/list
选择集群帮助屏蔽GKE节点并点击EDIT
定位ShieldGKE节点下拉菜单并选择“Enabled
点击SAVE
使用命令行 :
迁移现有集群时,需要指定集群更新命令中的-en-en-屏蔽节点标志:
gloud贝塔容器集群更新
区元CLUSTERONE
--enable-shielded-nodes
默认值 :
当前屏蔽GKE节点默认无法启动
屏蔽GKE节点启动后,完整性监控(通过Stackdriver)默认启动并安全启动默认禁用